[Eisfair] ablaufende Zertifikate...

[Stefan Puschek]

Hallo Marcus,

>> aber legt wget die Zertifikate im certs-Verzeichnis ab?
> 
> Nein, natürlich nicht.

gut - war auch mehr retorisch gemeint

> Rufst du irgendwo irgendetwas mit eine SSL-Verbindung (https, ftps, ...) ab,
> präsentiert dabei die Gegenstelle ein Zertifikat.
> 
> Der lokale Prozess prüft die Gültigkeit des Zertifikat und seiner Kette und
> wenn das in Ordnung ist, werden die Nutzdaten übertragen; das Zertifikat
> wird danach wieder "vergessen".
> 
> Nichts anderes also, was auch einem Client beim Surfen per Browser auch
> passiert.

ist bekannt

>> Genau das wollte ich ja haben: die Zertifikate MEINER Provider und sonst
>> nix
> 
> Falsch; du brauchst alle Zwischen- und Rootzertifikate, mit denen die
> Zertifikate deiner Gegenüber signiert sind auf dem System, wie soll sonst
> die Gültigkeit beliebiger Serverzertifikate ermittelt werden?

ich hätte schreiben sollen "alle Zertifikate aus den Chains MEINER Provider"

> Ist die Zahl der Gegenstellen, mit denen du vom eis aus kommunizieren
> willst, begrenzt, reichen natürlich diejenigen Zwischen- und
> Rootzertifikate, mit denen diese Gegenstellen signiert wurden.

genau das wollte ich haben

>> aber dann müssten sie doch jetzt unrequired sein - oder habe ich das
>> falsch verstanden?
> 
> CA sind niemals unrequired.

da kommen wir der Sache schon näher: alle von mir entfernten Zertifikate 
waren für CAs :)

Danke, dass Du Licht ins Zertifikats-Dunkel gebracht hast :)


Groetjes
Stefan